La seguridad de un Estado digital, hacia una detección participativa

América|Derechos digitales

Fundación Karisma

15 julio 2024

5 minutos

El presidente colombiano Gustavo Petro escribe en su teléfono celular durante una ceremonia en una escuela militar en Bogotá, el 15 de diciembre de 2023. Raúl ARBOLEDA / AFP vía Getty Images

La Fundación Karisma, desde su laboratorio de seguridad digital del K+LAB, ha estado trabajando desde el año 2016 en el tema de divulgación responsable de vulnerabilidades, incidentes y fugas de datos personales; en particular cuando involucran sistemas del Estado.

Este artículo fue publicado originalmente en web.karisma.org el 16 de marzo de 2023.

Por: Stéphane Labarthe, consultor de la Fundación Karisma

La Fundación Karisma, desde su laboratorio de seguridad digital del K+LAB,  ha estado trabajando desde el año 2016 en el tema de divulgación responsable de vulnerabilidades, incidentes y fugas de datos personales; en particular cuando involucran sistemas del Estado que manejan datos de la ciudadanía. El objetivo siempre ha sido que se mejoren los derechos de todas las personas usuarias además de que se implementen mejores prácticas para la protección de los datos y para que estos reportes puedan ser efectivos, es necesario facilitar los mecanismos para reportar ante el Estado, por lo cual hemos trabajado siguiendo dos ejes:

  • Investigación: Realizando análisis de sitios web, aplicaciones y sistemas del Estado y generando reportes privados de vulnerabilidades y recomendaciones.
  • Trabajo de incidencia: a través de reuniones con el gobierno, participación en conferencias y publicación de textos e informes.

En este largo camino, del lado de la incidencia, hemos publicado el informe «Rutas de divulgación en seguridad digital» en el año 2019 y nuestras prácticas fueron reconocidas en el informe de la OECD «Encouraging vulnerability treatment, responsible management, handling and disclosure of vulnerabilities», que fue publicado en el 2021. Estas publicaciones no han sido sólo teóricas sino que se alimentan de nuestras propias experiencias, de las dificultades que han surgido de ellas (la incomprensión del alcance de nuestros ejercicios o las  amenazas de demandas), y de las metodologías que se han ido construyendo: tanto para el análisis técnico cómo para la manera de reportar los hallazgos al Gobierno.

El nuevo texto que se publica aquí extiende este trabajo y se titula «La seguridad de un Estado digital, hacia una detección participativa». Es la traducción en español, con algunos pequeños añadidos, de un artículo escrito originalmente en francés en el 2021 y publicado en octubre de 2022 con título «Sécurité d’un État digital, vers une détection participative» en la compilación «L’État digital» que incluye otras contribuciones  Este trabajo se hizo a raíz del coloquio del mismo nombre, co-organizado por la Universidades de París Panthéon-Assas y la Fundação Getulio Vargas (FGV) de Rio de Janeiro.

El artículo sostiene que «la capacidad de detección de los riesgos digitales tiene que apoyarse en toda la sociedad, incluyendo las universidades, la sociedad civil, los usuarios, los expertos técnicos e incluso lo que los medios de comunicación llaman de manera confusa los hackers». Resalta la importancia de la detección en seguridad digital, clasifica los tipos de eventos que se pueden detectar y analiza los riesgos legales actuales para un investigador en seguridad digital que desempeña este papel fundamental de detector, en función de la metodología técnica de análisis que él usa. En su última parte contempla las evoluciones recientes tanto legales como en cuanto la actitud de los Estados frente a estos temas, con un enfoque especial hacia Colombia, Estados Unidos y Europa y muestra todo lo que falta para poder llegar a una detección participativa eficiente y responsable.

Finalmente se concluye con algunas recomendaciones, tanto para los Estados cómo para los investigadores en seguridad digital:

RECOMENDACIONES PARA LOS ESTADOS:

  • Mejorar y completar los canales de notificación estatales existentes, ya sea que los canales estén asociados a los CERT, a las autoridades de protección de datos o a cualquier entidad receptora de notificaciones, estos deben mejorarse y completarse. Todos los eventos de seguridad deben poder ser reportados y deben ser atendidos: vulnerabilidades genéricas y específicas (fallas de seguridad), incidentes y violaciones de datos que sean informaciones personales o de otro tipo. Es importante que estos canales tengan políticas de divulgación coordinada claras y completas (ver parte C, 2, b del artículo).
  • Crear un marco organizacional de confianza con los organismos estatales receptores de notificaciones. En particular es fundamental que los CERT nacionales y otras entidades con este papel puedan tener una independencia real respecto al Ministerio de Defensa y los organismos de inteligencia. Por otra parte, una relación de confianza tiene que construirse con los investigadores.
  • Minimizar los riesgos legales para los investigadores. Esto puede hacerse por medio de evoluciones legislativas, dándoles garantías con respecto a ciertas condiciones (como en Francia), la creación de excepciones a las infracciones posibles y/o una sensibilización de los fiscales para limitar los procedimientos legales en el caso de «hacking ético» (como en Holanda).
  • Desarrollar acciones de comunicación destinadas a los descubridores potenciales. Se trata de investigadores universitarios, de la sociedad civil, de expertos independientes, de hackers, de usuarios de los sistemas, etc. La creación de guías y documentos de sensibilización relativos a este tema, así como la organización de programas de recompensas (bug bounty) son buenos ejemplos de lo que se puede hacer.

RECOMENDACIONES PARA LOS INVESTIGADORES:

  • Elegir una metodología de análisis cuyos riesgos sean aceptables en función del contexto de la investigación / del análisis. La parte B de este artículo puede ser útil.
  • Apoyarse, si se puede, en un organismo intermediario de confianza que ofrece garantías adicionales y ofrece una protección al investigador. Puede tratarse por ejemplo de una organización de la sociedad civil, de una Universidad, de un organismo estatal que ofrezca todas las garantías de confianza o de una empresa organizadora de programas bug bounty.
  • Más allá de los aspectos jurídicos, realizar los análisis de manera ética y transparente, en particular cuando impliquen completar formularios con datos personales (ver B, 2).

Accede al articulo completo

Artículos recientes en América

Ver todos los artículos

Derechos pendientes: informe sexenal sobre libertad de expresión e información en México

México | Acceso a la información

ARTICLE 19 expuso que durante el sexenio de Andrés Manuel López Obrador (AMLO) se registraron 3408 agresiones contra la prensa, de las cuales 561 se registraron solo en 2023.

15 julio 2024

Histórica sentencia de la Corte Interamericana de Derechos Humanos: La protección de datos aplica en las tareas de inteligencia

Colombia | Acceso a la información

«La decisión es de relevancia – entre otros – porque, por primera vez en la historia de la Corte se reconoce el derecho a la autodeterminación informativa en las tareas de inteligencia de los Estados.»

15 julio 2024

Argentina: Condenamos el alarmante cierre del espacio cívico

América | Ataques

Las redes regionales defensoras de la libertad de expresión y prensa, Alianza Regional por la Libre Expresión e Información, IFEX-ALC y Red Voces del Sur expresamos nuestra preocupación por el cierre del espacio cívico en Argentina como consecuencia del avasallamiento sobre la libertad de información, expresión, prensa, manifestación y reunión pacífica impulsado desde el Poder Ejecutivo.

11 julio 2024
Declaraciones conjuntas